Conditional Access(条件访问)是 Azure Active Directory (Azure AD) 的一项功能,它允许组织根据一系列条件来控制用户对应用程序和资源的访问。这些条件可以包括用户的位置、设备的状态、登录风险级别、应用程序类型等。
简单来说,它就像一个智能守卫,只有当用户满足特定的条件时,才允许他们进入或执行某些操作。
核心目标:
- 增强安全性: 确保只有授权用户和符合安全标准的设备才能访问敏感数据。
- 提高生产力: 在不影响安全的前提下,为用户提供灵活的访问方式。
它是如何工作的?
条件访问策略由以下几个关键部分组成:
- 用户和组: 哪些用户或组将受到策略的影响。
- 云应用或操作: 哪些应用程序或资源需要保护。
- 条件: 定义访问需要满足的特定条件。这可以包括:
- 设备平台: 仅允许从 Windows、iOS、Android 等设备访问。
- 设备状态: 设备是否符合公司策略(例如,已加入域、已注册 Azure AD、已符合 Intune 策略)。
- 位置: 允许或阻止从特定 IP 地址范围或国家/地区访问。
- 客户端应用: 用户是通过浏览器、移动应用、桌面客户端等访问。
- 登录风险: Azure AD Identity Protection 检测到的登录风险级别。
- 用户风险: Azure AD Identity Protection 检测到的用户账户风险级别。
- 访问控制: 当所有条件都满足时,允许或阻止访问,或者要求额外的操作,例如:
- 要求多重身份验证 (MFA): 即使密码正确,也需要通过手机验证码或指纹等方式进行二次验证。
- 要求设备符合策略: 确保设备已注册并符合组织的合规性标准。
- 要求加入混合 Azure AD 域的设备: 仅允许从已加入本地 Active Directory 和 Azure AD 的设备访问。
- 要求批准的客户端应用: 仅允许通过某些受信任的移动应用程序访问。
- 会话控制: 限制会话寿命或控制某些功能(例如,阻止下载)。
一个简单的例子:
假设你希望:当用户从公司网络外部访问 Office 365 时,必须进行 MFA。
- 用户和组: 所有用户。
- 云应用: Office 365。
- 条件:
- 位置: 不包括公司受信任的 IP 地址范围。
- 访问控制: 要求多重身份验证。
这样,如果员工在办公室使用公司网络,他们可以直接访问 Office 365。但如果他们在家或咖啡馆工作,就需要额外进行 MFA 验证。
总结:
Conditional Access 是一个非常强大和灵活的工具,它使组织能够精细地控制对资源的访问,从而在不牺牲用户体验的情况下显著提高安全性。